Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Perguntas frequentes
Não consigo listar nem obter segredos/chaves/certificado. Estou vendo um erro de "algo deu errado"
Se você estiver enfrentando problemas ao listar/obter/criar ou acessar o segredo, verifique se você possui o papel RBAC adequado atribuído no Azure. Consulte RBAC do Azure para o Cofre de Chaves. Se você estiver usando o modelo de política de acesso herdado, consulte Atribuir uma política de acesso ao Key Vault.
Como identificar como e quando os cofres de chaves são acessados?
Depois de criar um ou mais cofres de chaves, você provavelmente desejará monitorar como e quando seus cofres de chaves são acessados e por quem. Você pode fazer o monitoramento habilitando o registro em log para Azure Key Vault, para obter um guia passo a passo para habilitar o registro em log, le mais.
Como posso monitorar a disponibilidade do cofre, os períodos de latência do serviço ou outras métricas de desempenho do cofre de chaves?
Conforme você começar a escalar o serviço, o número de solicitações enviadas para o cofre de chaves aumentará. Essa demanda tem um potencial para aumentar a latência de suas solicitações e, em casos extremos, fazer com que suas solicitações sejam limitadas, o que prejudicará o desempenho do serviço. Você pode monitorar as métricas de desempenho do cofre de chaves e receber alertas relacionados a limites específicos. Para ver um guia passo a passo de como configurar o monitoramento, leia mais.
Não consigo modificar a política de acesso, como ela pode ser habilitada?
O usuário precisa ter permissões de Microsoft Entra suficientes para modificar a política de acesso. Nesse caso, o usuário precisaria ter uma função de colaborador mais alta.
Estou vendo o erro "Política Desconhecida". O que isso significa?
Há dois motivos pelos quais você pode ver uma política de acesso na seção Desconhecido:
- Um usuário anterior tinha acesso, mas esse usuário não existe mais.
- A política de acesso foi adicionada por meio do PowerShell, usando o objectid do aplicativo, em vez da entidade de serviço.
Como posso atribuir o controle de acesso por objeto do cofre de chaves?
A atribuição de funções em chaves, segredos e certificados individuais deve ser evitada. Exceções às diretrizes gerais:
Cenários em que segredos individuais devem ser compartilhados entre vários aplicativos, por exemplo, um aplicativo precisa acessar dados do outro aplicativo
Como fornecer a autenticação do cofre de chaves usando a política de controle de acesso?
A maneira mais simples de autenticar um aplicativo baseado em nuvem para Key Vault é com uma identidade gerenciada; consulte Authenticate para Azure Key Vault para obter detalhes. Caso você esteja criando um aplicativo local, fazendo desenvolvimento local ou, de outro modo, não consiga usar uma identidade gerenciada, registre uma entidade de serviço manualmente e forneça acesso ao cofre de chaves usando o RBAC do Azure. Consulte Azure RBAC para operações de plano de dados Key Vault.
Como conceder ao grupo do AD acesso ao cofre de chaves?
Conceda permissões ao grupo do Active Directory para o cofre de chaves usando Azure RBAC com o comando CLI do Azure az role assignment create ou o cmdlet Azure PowerShell New-AzRoleAssignment. Consulte Azure RBAC para operações de plano de dados Key Vault.
Observação
Se você estiver usando políticas de acesso herdadas, poderá usar o comando CLI do Azure az keyvault set-policy ou o cmdlet Azure PowerShell Set-AzKeyVaultAccessPolicy. No entanto, Azure RBAC é o modelo de autorização recomendado. Veja Atribuir uma política de acesso do Key Vault.
O aplicativo também precisa de pelo menos uma função de IAM (Gerenciamento de Identidades e Acesso) atribuída ao cofre de chaves. Caso contrário, ele não poderá fazer logon e falhará ao acessar a assinatura, devido a direitos insuficientes. Os grupos do Microsoft Entra com identidades gerenciadas podem exigir várias horas para atualizar os tokens e entrarem em vigor. Consulte Limitação do uso de identidades gerenciadas para autorização
Como posso reimplantar Key Vault com o modelo do ARM sem excluir as políticas de acesso existentes?
Atualmente, a reimplantação do Key Vault exclui qualquer política de acesso no Key Vault e as substitui pelas políticas de acesso no modelo ARM. Não há nenhuma opção incremental para as políticas de acesso do Key Vault. Para preservar as políticas de acesso no Key Vault, você precisa ler as políticas de acesso existentes no Key Vault e preencher o modelo do ARM com essas políticas para evitar interrupções de acesso.
Outra opção que pode ajudar nesse cenário é usar Azure RBAC e funções como alternativa para acessar políticas. Com Azure RBAC, você pode reimplantar o cofre de chaves sem especificar a política novamente. Para obter mais informações, consulte Fornecer acesso a chaves do Key Vault, certificados e segredos com controle de acesso baseado em funções do Azure.
Etapas de solução de problemas recomendadas para os seguintes tipos de erro
- HTTP 401: Solicitação não autenticada – Etapas de solução de problemas
- HTTP 403: Permissões insuficientes – etapas de solução de problemas
- HTTP 429: Muitas solicitações – etapas de solução de problemas
- Verifique se você excluiu a permissão de acesso ao cofre de chaves: consulte RBAC do Azure para o Cofre de Chaves. Se estiver usando políticas de acesso herdadas, consulte Atribuir uma política de acesso ao Key Vault.
- Se você tiver problemas com a autenticação no cofre de chaves no código, use SDK de autenticação
Quais são as melhores práticas que devo implementar quando o cofre de chaves estiver sendo limitado?
Siga as práticas recomendadas para limitar seu aplicativo em resposta aos limites de serviço.
Próximas etapas
Saiba como solucionar erros de autenticação do cofre de chaves: Guia de solução de problemas do Cofre de Chaves.